中国に同調するハッカーは、2023年以降、PeckBirdyと呼ばれるJScriptベースのコマンド&コントロール(C&C)フレームワークを武器化してきました。このツールは、MSHTAやWScriptといった正規ツール(LOLBins)を悪用し、ブラウザ、サーバー、ローカルマシンにまたがって実行されます。
これは、中国のギャンブルサイト、アジア各国政府、民間企業を標的にしたウォータリングホール攻撃、ラテラルムーブメント、バックドア配布を支えています。
Trend Microは、2つのキャンペーンSHADOW-VOID-044 とSHADOW-EARTH-045を追跡しており、これらを高度持続的脅威(APT)に結び付けています。PeckBirdyは、永続化のためにモジュール型バックドアHOLODONUTおよびMKDOORと組み合わされます。
Trend Microは2023年、中国のギャンブルサイトにスクリプトを注入するPeckBirdyを初めて確認しました。これらのページにアクセスした被害者はPeckBirdyをダウンロードし、偽のChrome更新ポップアップが表示されます。
これにより、ユーザーはだまされてバックドアを実行してしまいます。SHADOW-VOID-044と名付けられたこのキャンペーンは、C&CドメインやIPにわたり、Chromeの脆弱性であるCVE-2020-16040向けのエクスプロイトをホストしています。攻撃者はまた、盗まれた韓国の証明書で署名されたCobalt Strikeペイロードも使用します。
2024年7月、SHADOW-EARTH-045はアジアの政府機関および企業を攻撃しました。ハッカーは認証情報を窃取するため、ログインページにPeckBirdyを注入しました。
ある事例では、プライベートネットワーク上でMSHTAを用いてリモートアクセスを行い、別の事例ではScriptControlを備えた.NETツール経由で起動しました。PeckBirdyは適応的で、初期はウォータリングホール用サーバーとして、中盤はリバースシェルとして、後半は完全なC&Cとして機能します。
PeckBirdyは、単純なHTTPクエリを介してC&Cサーバーからランディングスクリプトを取得します。各通信は、カスタム設定のために32文字のATTACK_IDを使用します。
設定は、サーバー、ポート、リトライ、ハートビートを制御します。
通信はWebSocketで開始され、フォールバックとしてFlashソケット、Comet、またはAJAXが使用されます。初期化パケットは被害者の詳細を共有し、サーバーはAESで暗号化されたスクリプト(鍵:ATTACK_ID)を返します。
ハッカーはバックドアでPeckBirdyを拡張します。.NETインプラントであるHOLODONUTは、NEXLOADダウンローダー経由で展開されます。
これはXORでペイロードを復号し、Donutツールを用いてメモリ上で実行し、AMSI/ETWを無効化します。プラグインはC&C経由でロードされます。
MKDOORはダウンローダーとバックドアのモジュールに分かれます。ダウンローダーはペイロードを取得し、自身をDefenderの除外に追加し、/en-us/howtotell/default.aspxのようなMicrosoftのURLを模倣します。
バックドアは/en-us/windows/activate-windows-c39005d4-95ee-b91e-b399-2820fda32227を使用します。
SHADOW-VOID-044は、GRAYRABBITとの重複を通じてUNC3569に結び付けられ、WizardNet/HOLODONUTはTheWizardとの関連が示され、MKDOORはEarth LuscaのBIOPASS RATと一致する手法を示します。SHADOW-EARTH-045はIP 47.238.184.9を通じてEarth Baxiaを示唆します。両者は、中国に同調するAPTの連携を示しています。
PeckBirdyのJScript由来の特性は、ファイルやサンドボックスを回避することで検知を逃れます。TrendAI Vision One™はIOCを検出し、クエリとインテリジェンスを提供します。組織はLOLBinsの悪用をハンティングし、スクリプト注入を監視し、CVE-2020-16040を修正すべきです。
翻訳元: https://cyberpress.org/peckbirdy-abuses-lolbins/